Der Begriff „UBI“ ist derzeit in aller Munde. UBI steht dabei für „Unternehmen von besonderem öffentlichem Interesse“. Mit dem neuen IT-Sicherheitsgesetz 2.0 sind Unternehmen stärker in den Fokus geraten, die für die Bundesrepublik Deutschland von besonderem Sicherheitsinteresse sind. Dabei existieren insgesamt drei unterschiedliche Kategorien von Unternehmen:
„UBI 1“ sind Rüstungsunternehmen oder Unternehmen, die IT-Sicherheits-Produkte zur Verarbeitung von staatlichen Verschlusssachen oder Komponenten liefern.
Die „UBI 2“ sind die größten deutschen Unternehmen sowie deren wichtigsten Zulieferer. Gerade diese Zulieferunternehmen sind sich in vielen Fällen jedoch ihrer sicherheitskritischen Bedeutung häufig noch gar nicht bewusst.
Unter „UBI 3“ fallen Firmen nach Störfall-Verordnung (BImSchV), insofern sie der oberen Klasse dieser Verordnung sowie Unternehmen, die nach §1 Abs. 2 der oberen Klasse gleichgestellt sind.
In welche Kategorie fallen Sie? Diese nicht immer ganz leicht zu beantwortende Frage betrifft insbesondere Unternehmen, die unter die etwas unscharfe Kategorie der UBI 2 fallen könnten. Licht ins Dunkel soll im Laufe dieses Jahres durch eine neue UBI-Verordnung kommen. Derzeit lautet die Aussage im Gesetzestext, dass UBI 2 auch Zulieferer mit besonderen Alleinstellungsmerkmalen umfassen - diese Merkmale gilt es aktuell jedoch erst noch klar zu definieren.
Einige Maßnahmen sind für die Unternehmen aller drei Kategorien gleich: 1. die eigenständige Zuordnung, d.h. Unternehmen müssen sich selbständig einer oder mehreren Kategorien zuordnen; 2. die Registrierung auf der Seite des Bundesamtes für Sicherheit in der Informationstechnik (BSI); 3. die Meldung von relevanten IT- und Sicherheitsvorfällen an das BSI. Auf den ersten Blick scheint sich der Aufwand damit in Grenzen zu halten. Jedoch liegt insbesondere bei den UBI 1 und UBI 2 der Teufel im Detail: bei Ihnen besteht die Pflicht zu einer „Selbsterklärung IT-Sicherheit“. Hierbei haben Unternehmen zu erklären, dass sie in den vergangenen zwei Jahren eine IT-Sicherheitszertifizierung erreicht haben, im gleichen Zeitraum IT-Sicherheitsaudits und -prüfungen erfolgt sind und die „Kronjuwelen“, sprich Komponenten, Prozesse und Systeme von besonderer Bedeutung, gut geschützt sind. Unternehmen, welche die Kriterien der UBI 2 erfüllen, müssen auf Nachfrage an das BSI erklären können, wenn sie sich nicht der UBI 2 zugeordnet haben. Es existieren darüber hinaus Unternehmen, die in alle drei Kategorien gleichzeitig fallen. Ein Beispiel ist hier das Rüstungshersteller (UB 1), der unter die Störfallverordnung (UB 3) fällt und aufgrund seiner bedeutenden Größe auch noch ein Unternehmen von besonderem öffentlichem Interesse der Kategorie 2 ist.
Was nun sind die genannten IT-Sicherheitszertifizierungen, die von den Unternehmen der Kategorien 1 und 2 erwartet werden? Es handelt sich dabei um Informationssicherheitsmanagementsystem (ISMS)-Zertifizierungen. Das BSI verweist hierbei meist zuerst auf den IT-Grundschutz, erlaubt aber auch eine Einführung und Zertifizierung nach ISO 27001. Die Cyber-Defence-Experten von Solitaire Advisory unterstützen Ihr Unternehmen gern bei der Einführung des entsprechenden Informationssicherheitsmanagementsystems - sei es nach IT-Grundschutz oder nach ISO 27001. Unsere Experten führen eine kostenlose Erstberatung durch, um festzustellen, welche Norm die für Sie passende ist. Auch können wir in diesem Rahmen eine Analyse Ihres aktuellen Sicherheitsniveaus vornehmen und ein Sicherheitsaudit durchführen.
Abschließend bleibt noch eine sehr wichtige Frage: wann ist der Stichtag, also wann sind die genannten Maßnahmen ein- beziehungsweise auszuführen? UBIs der Kategorie 3 müssen sich bereits seit November 2021 beim BSI registrieren. Alle weiteren Maßnahmen sind nach der Veröffentlichung der neuen UBI-Verordnung plus zwei Jahre - also mit hoher Wahrscheinlichkeit im Jahr 2024 - anzuwenden. Das heißt konkret für Unternehmen: Verfügen Sie noch nicht einmal über eine ISMS-Zertifizierung, sollten Sie alsbald möglich diesen Prozess anstoßen. Schließlich drohen bereits heute durch die Datenschutzgrundverordnung (DSGVO) empfindliche Strafen, wenn man die Anforderungen des Gesetzes und der entsprechenden Verordnungen nicht vollständig umgesetzt hat.
Wir verfolgen laufend die aktuellen Entwicklungen und halten Sie gerne in unserem Newsletter sowie bei einem persönlichen Beratungsgespräch auf dem Laufenden.